Na komputerze już 65 tysięcy portów. Niektóre z nich są zajęte открывшими ich aplikacje. Wszystkie pozostałe są wolne. W przypadku, gdy użytkownik zauważa podejrzaną aktywność sieciową komputera, należy sprawdzić otwarte porty i dowiedzieć się, jakie programy otwierają się.
Instrukcja
1
Odpowiednio skonfigurowany komputer komunikuje się z internetem tylko w dwóch przypadkach: gdy ty sam pracujesz w sieci, i kiedy następuje aktualizacja antywirusowych baz danych lub systemu operacyjnego. Jeśli widzisz, że komputer sam „wspina się” w sieci, jest to powód do jego sprawdzania.
2
Należy wiedzieć, że nawet chroniony antywirusem i firewallem komputer nie jest niezniszczalny. Hakerzy dawno nauczyli się oszukiwać najbardziej znanych programów ochronnych, dlatego uważnie obserwuj zachowanie komputera i regularnie sprawdzać otwarte porty.
3
Do sprawdzania otwartych portów otwórz wiersz polecenia: „Start” – „Wszystkie programy” – „Standardowe” – „wiersz Polecenia”. Jest łatwiejszy sposób: „Start” – „Uruchom”, wpisz polecenie cmd i kliknij przycisk OK. W wierszu polecenia wpisz netstat –aon, uruchom narzędzie naciskając Enter.
4
W pierwszej kolumnie wyświetlonej tabeli podany jest typ połączenia sieciowego. W drugim – „adres Lokalny” – zobaczysz lokalne adresy i numery otwartych portów (z adresem, po dwukropku). W kolumnie „adres Zewnętrzny” są adresy sieciowe, z którymi łączy się komputer.
5
Zwróć uwagę na sekcję „Status” pokazuje status połączenia: ESTABLISHED – połączenie jest nawiązywane. LISTENING – oczekiwanie na połączenie. CLOSE_WAIT – połączenie zakończone. Wreszcie, ostatnia kolumna – PID – pokazuje identyfikator procesu. Jest to numer, pod którym dany proces jest opisywany w systemie.
6
Dzięki obecności PID można zrozumieć program, który otwiera ten lub inny port. Na przykład, jeśli widzisz, że masz otwarty port 1499, jego identyfikator – 1580 (masz wszystkie dane zostaną innych). Wpisz w tym samym oknie wiersza polecenia polecenie tasklist. Przed tobą pojawi się lista wszystkich procesów, przy czym w drugiej kolumnie podane są ich identyfikatory (PID). Teraz trzeba znaleźć w tej kolumnie interesujący cię PID, w tym przypadku 1580. Znajdziesz, znajdziesz w lewej kolumnie nazwa procesu – niech to będzie AAWService.exe.
7
Jeśli nazwa procesu ci obce, wpisz je w pasku wyszukiwarki. Wprowadzono otrzymali informacje – proces należy do programu Ad-Aware. Czy masz na komputerze taki program? Uruchamia się ona automatycznie przy starcie systemu? Czy potrzebna ci ona? Uruchom program Aida64 (Everest) i poszukaj folderu autostart i, w razie potrzeby, wyjmij z niej plik Ad-Aware. Jeśli u ciebie nie jest warte takiego programu, to AAWService.exe – proces trojana, маскирующегося pod popularne narzędzie. Ten algorytm do sprawdzania wszystkich innych aplikacji, które umożliwiają porty.
8
Szczególną uwagę należy zwrócić na połączenia ze stanem LISTENING. Aplikacja nasłuchuje odkryty im port, czekając na połączenie. W podobny sposób mogą zachowywać się jak „legalne” oprogramowanie – na przykład usługi systemu Windows, jak i konie, które, gdy się z nimi nawiązane zostanie połączenie.
Kategoria:
Bezpieczeństwo